飘云阁安全网

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 4216|回复: 7

[原创] 圣天狗SHK 1.2狗壳脱壳

[复制链接]
  • TA的每日心情
    开心
    2022-8-3 15:14
  • 签到天数: 39 天

    [LV.5]常住居民I

    发表于 2015-7-25 09:18:14 | 显示全部楼层 |阅读模式
    忘记是什么时候写的了,有笔记和视频录像,没地方放录像,就先发个笔记吧,当然是带狗脱。

    本来来下易语言补丁的,哈哈,竟然要花币,想来骗点币的。直接发了吧,币没毛用,又不能买东西吃。

    SHK 1.2 dll脱壳
    ------------------------------------------------
    在第1节就一直看jmp跟进 看到第一个call就下断,F9运行到此,回车跟进call,再看jmp跟进,如此循环跟,一直到第2节


    到第2节后,向下找标志
    cmp   dword ptr [XXXX],0
    je  short XXXX  
    jmp XXXX   回车跟进,向下找第一个call下断,F9运行到此,回车跟进,象第1节那样继续,一直到第3节;


    到第3节后,向下找标志
    mov  dword ptr [XXXX],0
    cmp  dword ptr [XXXX],0
    je  short XXXX    在这里F2下断,F9运行到此,取消断点
    jmp  XXXX   回车跟随
    跟随后,在下面的第一个call下断点,向上找一点点,在
    pop eax
    pop ecx   在这里点右键,查找命令cmp  dword ptr [ebp-106C],0
    pop edi
    Call XXXX
    找到后,F2下断,F9运行到此,把下一行jnz处直接NOP掉,然后向下找,有点远,找到
    and   eax,XXXXXXXX   XX数有点大;找到这,向下找
    mov   eXx,dword ptr [ebp-14]
    cmp   eXx,dword ptr [XXXX]   看右边提示列里有一个系统函数的注释,可以在数据窗口中查看这个系统函数
    jb或ja XXXX   这里改成jmp,F2下断后运行到此,取消断点,按F9运行
    会在Call处,取消断点跟随,之后又是jmp和call断下后跟进循环,一直到第4节

    第4节,就是我们要找的OEP了,用LoadPE进行Dump。


    IAT可以从数据窗口里找,也可以进OEP下面的第一个call里去看,有call系统函数地方,进去看,在数据窗口里查看寻找连续的IAT即可。用ImportREC修复IAT输入表(里面几个不能识别的函数Cut掉就行)。


    SHK好象没有对dll的文件进行IAT加密,找IAT时,是在第2个call里进去看;

    下面修复重定位表
    记下ImageBase地址
    10000000
    01E30000
    用ReloX修复重定位表
    完工

  • TA的每日心情
    开心
    2022-8-3 15:14
  • 签到天数: 39 天

    [LV.5]常住居民I

     楼主| 发表于 2015-7-25 09:19:05 | 显示全部楼层
    SHK 1.2 exe脱壳
    -----------------------------------------------------------------------------------------
    目标壳:圣天诺SHK开发包1.2加的壳

    在第1节就一直看jmp跟进 看到第一个call就下断,F9运行到此,回车跟进call,再看jmp跟进,如此循环跟,一直到第2节


    到第2节后,向下找标志
    cmp   dword ptr [XXXX],0
    je  short XXXX  
    jmp XXXX   回车跟进,向下找第一个call下断,F9运行到此,回车跟进,象第1节那样继续,一直到第3节;


    到第3节后,向下找标志
    mov  dword ptr [XXXX],0
    cmp  dword ptr [XXXX],0
    je  short XXXX    在这里F2下断,F9运行到此,取消断点
    jmp  XXXX   回车跟随
    跟随后,在下面的第一个call下断点,向上找一点点,在
    pop eax
    pop ecx   在这里点右键,查找命令cmp  dword ptr [ebp-106C],0
    pop edi
    Call XXXX
    找到后,F2下断,F9运行到此,把下一行jnz处直接NOP掉,然后向下找,有点远,找到
    and   eax,XXXXXXXX   XX数有点大;找到这,向下找
    mov   eXx,dword ptr [ebp-14]
    cmp   eXx,dword ptr [XXXX]   看右边提示列里有一个系统函数的注释,可以在数据窗口中查看这个系统函数
    jb或ja XXXX   这里改成jmp,F2下断后运行到此,取消断点,按F9运行
    会在Call处,取消断点跟随,之后又是jmp和call断下后跟进循环,一直到第4节

    第4节,就是我们要找的OEP了,用LoadPE进行Dump。


    IAT可以从数据窗口里找,也可以进OEP下面的第一个call里去看,有call系统函数地方,进去看,在数据窗口里查看寻找连续的IAT即可。用ImportREC修复IAT输入表(里面几个不能识别的函数Cut掉就行)。
  • TA的每日心情
    开心
    6 天前
  • 签到天数: 1079 天

    [LV.10]以坛为家III

    发表于 2015-7-25 10:36:27 | 显示全部楼层
    不错学习了。是无狗脱壳?还是有狗?
  • TA的每日心情
    开心
    2016-9-11 17:01
  • 签到天数: 54 天

    [LV.5]常住居民I

    发表于 2016-7-24 08:57:31 | 显示全部楼层
    楼主有没有其他狗的破解
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    昨天 01:02
  • 签到天数: 399 天

    [LV.9]以坛为家II

    发表于 2019-6-22 21:05:59 | 显示全部楼层
    感谢发布原创作品,PYG有你更精彩!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-7-12 20:19
  • 签到天数: 67 天

    [LV.6]常住居民II

    发表于 2019-12-10 01:08:03 | 显示全部楼层
      谢谢  分享     楼主牛x  学习一下操作流程
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-7-12 20:19
  • 签到天数: 67 天

    [LV.6]常住居民II

    发表于 2019-12-10 01:15:57 | 显示全部楼层
      谢谢  分享     楼主牛x  学习一下操作流程
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2022-7-7 00:36
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2021-8-16 17:12:56 | 显示全部楼层
    先踩踩点,有时间再来```
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    小黑屋|手机版|Archiver|粤公网安备 44010602010026号|飘云阁安全网 ( 粤ICP备15107817号-2 )

    Powered by Discuz! Copyright © 2001-2022, Tencent Cloud.

    快速回复 返回顶部 返回列表